Mailinglist Archive: opensuse-de (3513 mails)
| < Previous | Next > |
Re: Aus einem Bash Skript in mysql schreiben?
- From: Christian Boltz <suse@xxxxxxxxx>
- Date: Wed, 29 Dec 2004 19:55:26 +0100
- Message-id: <200412291955.26554@xxxxxxxxxxxxxxx>
Hallo Wolfgang, hallo Johannes, hallo Leute,
Am Mittwoch, 29. Dezember 2004 12:26 schrieb Wolfgang Hamedinger:
Man kann sich auf diese Weise aber auch recht schnell eine
Sicherheitslücke einhandeln:
WERT='"; DROP TABLE xy; '
Das Zauberwort lautet hier Überprüfung der Parameter, nur dass das mit
Perl oder PHP deutlich einfacher geht als in der Bash.
[TOFU gelöscht - bitte http://learn.to/quote]
Gruß
Christian Boltz
--
Lass Dir kein X für ein U vormachen,
sei auf der Hxt!
Am Mittwoch, 29. Dezember 2004 12:26 schrieb Wolfgang Hamedinger:
Etwas uebersichtlicher und ohne Zwischendatei geht es mit einem[...]
HERE-Dokument:
WHERE ...="$WERT1" AND[...]
Wie man sieht, kann man die Werte der Abfrage ueber Shell-Variable
parametrisieren.
Man kann sich auf diese Weise aber auch recht schnell eine
Sicherheitslücke einhandeln:
WERT='"; DROP TABLE xy; '
Das Zauberwort lautet hier Überprüfung der Parameter, nur dass das mit
Perl oder PHP deutlich einfacher geht als in der Bash.
[TOFU gelöscht - bitte http://learn.to/quote]
Gruß
Christian Boltz
--
Lass Dir kein X für ein U vormachen,
sei auf der Hxt!
| < Previous | Next > |